У нас есть сервер LDAP, настроенный с нашей Active Directory. Когда пользователи входят в систему Linux с установленным клиентом LDAP как root, они могут войти в любую учетную запись Active Directory без необходимости использования пароля пользователя. Это большой риск для безопасности, кто-нибудь знает, почему это так и как этого избежать?
К сожалению, запретить root-доступ нельзя, поскольку в некоторых случаях это требуется некоторым пользователям.
Это стандартная конструкция Unix, и вы не можете помешать root делать все, что он хочет.
Более безопасный дизайн заставит пользователей использовать sudo
и для конфигурации sudo, чтобы пользователи могли выполнять только определенные задачи, которые им нужно выполнить. Неограниченный sudo
должен быть ограничен конкретным ИТ-персоналом, которому он нужен для обслуживания серверов, а фактический пароль root должен храниться где-нибудь в сейфе.
Мой коллега смог найти решение проблемы корневого доступа к учетным записям пользователей LDAP без пароля. Есть параметр в /etc/pam.d/su называется pam_rootok.so. Это нужно закомментировать с помощью #. После того, как это закомментировано, root будет запрашивать пароль пользователя при попытке su.
Вот как это должно работать.
Вы ЖЕСТЯНАЯ БАНКА однако предотвратить или ограничить доступ root. Я работаю с системами здравоохранения и сталкиваюсь со всевозможными нормативными и нормативными требованиями. Наши аудиторы довольны аутентификацией LDAP, но предпочитают, чтобы мы доступ sudo для работы с обычными пользователями, которым иногда могут потребоваться привилегии повышения уровня root.